Informativos

STJ CONDENA EMPRESA POR VAZAMENTO DE DADOS PESSOAIS – ATAQUE HACKER

11 de December de 2024

A 3ª Turma do STJ confirmou decisão do TJSP que condenou empresa do ramo de energia elétrica em razão de vazamento de dados pessoais de titular.

Conforme decisão do REsp 2.147.374, a alegação da empresa de que não possuiria responsabilidade no caso em razão de que o vazamento de dados ocorreu por culpa exclusiva de terceiro (ataque hacker) não foi aceita, tendo sido entendido que a empresa não comprovou que o vazamento de dados ocorreu exclusivamente por culpa do incidente de segurança, assim como, que a empresa não comprovou a adoção de medidas de segurança aptas a proteger os dados pessoais tratados por ela de acessos não autorizados. Neste sentido, segue transcrição de importante trecho da decisão:

“A empresa recorrente, pelo fato de se enquadrar na categoria dos agentes de tratamento, tinha a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, e seus sistemas utilizados para o tratamento de dados pessoais deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.

Compliance de dados é o esforço de conformidade e de aplicação da LGPD nas atividades das empresas que lidam com tratamento de dados. Referido instrumento assume importância central ao induzir não apenas à obediência ao direito, mas também à comprovação da efetividade dos programas de conformidade.

O tratamento de dados pessoais configurou-se como irregular quando deixou de fornecer a segurança que o titular dele poderia esperar (“expectativa de legítima proteção”), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (art. 44, III, da LGPD). 6. Ao não provar, perante as instâncias ordinárias, que o vazamento dos dados da recorrida teria se dado exclusivamente em razão do incidente de segurança, é impossível aplicar em favor da recorrente a excludente de responsabilidade do art. 43, III, da LGPD.”.

Na decisão, a empresa foi condenada a fornecer declaração completa indicando a origem dos dados pessoais tratados, os critérios utilizados para o tratamento, a finalidade do tratamento de dados, assim como a cópia exata de todos os dados do titular constantes nos seus bancos de dados.

Por fim, importante destacar que o entendimento utilizado pelo STJ reforça a necessidade de que as empresas se adequem à legislação de proteção de dados e possuam registro das medidas técnicas e administrativas adotadas para proteger os dados pessoais coletados.

Fonte: REsp 2.147.374/SP, 3ª Turma do STJ, Relator Ricardo Villas Bôas Cueva.

GIL BORNÉO R. TAVARES